Cara mengaktifkan enkripsi berbasis perangkat keras pada Samsung 850 Pro
10
Saya memiliki Samsung 850 pro baru yang mempromosikan enkripsi berbasis perangkat keras . Menurut halaman itu saya harus masuk ke BIOS saya dan menetapkan kata sandi hard-drive (tidak ada masalah benar). Satu- satunya utas yang relevan yang saya temukan pada masalah ini juga mengatakan sesuatu di sepanjang baris yang sama. Saya tidak memiliki opsi seperti itu di BIOS saya (saya memiliki papan Gigabyte dengan chipset Z87, nomor model yang keluar dari saya saat ini). Jika saya harus membeli motherboard baru untuk membuatnya berfungsi, fitur apa yang dibutuhkan papan untuk didukung?
Tergantung pada apa yang Anda maksud dengan "membuat ini berfungsi". Drive itu mendukung OPAL 2.0, yang memungkinkan berbagai skema enkripsi yang dikelola perangkat lunak menggunakan enkripsi akselerasi perangkat keras. Ini juga memungkinkan untuk otentikasi pra-boot (PBA) untuk enkripsi, seperti skema BIOS / EFI. Jika Anda ingin menggunakan PBA (yaitu kata sandi / pin di BIOS / EFI) maka Anda harus beralih ke motherboard yang mendukungnya (saya tidak bisa mengatakan bahwa karena saya tidak menggunakan PBA, saya menggunakan BitLocker, yang sangat saya rekomendasikan di lingkungan Windows).
TL; DR Jika Anda menjalankan Windows, gunakan BitLocker, itu akan secara otomatis menggunakan akselerasi perangkat keras.
Sunting :
Per April 2014, OPAL tidak didukung oleh Linux. Ada seseorang yang mengerjakan "msed", tetapi belum selesai atau produksi layak. Saya tidak tahu status saat ini atau masa depan dukungan OPAL di Linux.
Sunting 2 :
Ada juga berbagai produk UEFI yang dapat mengelola drive yang kompatibel dengan OPAL memungkinkan berbagai PBA jika BIOS / EFI Anda tidak mendukungnya secara langsung. Satu-satunya yang samar-samar saya kenal memungkinkan perusahaan untuk menyiapkan server otentikasi untuk PBA melalui Internet. Ini mungkin bekerja dengan kredensial lokal juga, saya tidak yakin. Ini juga sangat mahal. Makanan untuk dipikirkan jika tidak ada yang lain.
Luar biasa. Saya tidak menggunakan Windows, itu ubuntu 14 dengan enkripsi LVM diaktifkan melalui opsi installer. Sooo mungkin itu sudah mengambil keuntungan dari akselerasi perangkat keras dan jawabannya adalah tidak melakukan apa-apa dan untung?
ErlVolton
Lihat edit, bukan berita baik untuk Anda.
Chris S
9
Sebagai "seseorang" yang bekerja pada "msed", sekarang memiliki kemampuan mengaktifkan penguncian OPAL, menulis PBA ke drive OPAL 2.0 dan memuat rantai OS nyata setelah membuka kunci drive pada motherboard berbasis bios. Tidak diperlukan dukungan motherboard khusus. Ya, ini masih awal dalam siklus pengembangannya dan saat ini tidak mendukung sleep to ram karena itu memerlukan kait OS.
TexasDex benar. BIOS motherboard Anda harus mendukung opsi Kata Sandi ATA (ini berbeda dan selain kata sandi BIOS). Sekarang sedikit yang menarik. . . tidak ada yang menyebutkan fitur ini. Tidak dalam ulasan mobo, perbandingan, dan tentu saja tidak dalam iklan dan daftar produsen mobo. Kenapa tidak? Jutaan jutaan Samsung EVO dan Intel SSD siap untuk mengaktifkan enkripsi perangkat keras ultra cepat dan sangat aman, yang mereka butuhkan hanyalah BIOS dengan dukungan ATA Password.
Satu-satunya jawaban yang bisa saya temukan adalah bahwa pembuat Mobo takut beberapa noobs akan lupa kata sandi mereka, dan karena enkripsi ini sangat dapat diandalkan, tidak ada yang bisa membantu.
Saya memiliki mobo ASRock Extreme6, dan berpikir itu adalah yang terbaru dan terhebat, tentu saja ia memiliki fitur ini. Tidak. Namun, saya menulis kepada ASRock di Taiwan dan dalam seminggu mereka mengirimi saya versi 1.70B BIOS mereka dengan opsi ATA Password. Namun, itu masih belum tersedia di situs web mereka, Anda harus MEMINTA itu (?!). Ini mungkin terjadi dengan pembuat mobo Anda juga.
Apakah dukungan BIOS ini menangguhkan ke mode tidur RAM? Apakah itu membuka kunci drive sambil melanjutkan dari tidur?
ZAB
1
Dimungkinkan untuk menggunakan perintah hdparm di Linux untuk mengaktifkan ATA Security Extensions, yang akan mengatur kata sandi AT pada drive, sehingga mengenkripsinya.
Sayangnya, jika BIOS Anda tidak mendukung kata sandi hard disk maka tidak ada cara untuk mem-boot setelah Anda melakukannya, karena Anda tidak dapat menggunakan perintah buka kunci hdparm sampai setelah selesai mem-boot, dan Anda tidak dapat membuka dan mem-boot drive sampai setelah Anda membukanya. Jenis masalah ayam / telur. Itu sebabnya mereka terkadang memasukkan dukungan kata sandi disk di BIOS, sehingga dapat berjalan tanpa perlu OS.
Jika Anda memiliki / boot atau / partisi pada perangkat yang terpisah, Anda mungkin dapat mengatur skrip yang menggunakan perintah hdparm di suatu tempat dalam proses init. Ini tidak mudah, dan agak mengalahkan tujuan memiliki SSD untuk booting cepat dan semacamnya.
Satu-satunya ide saya adalah memiliki thumb drive dengan distro super-minimal Linux yang tidak melakukan apa-apa selain meminta kata sandi, menjalankan perintah hdparm ata unlock, dan reboot, memungkinkan OS untuk memuat dari drive yang tidak terkunci (saya percaya soft reboot biasanya tidak mengunci kembali drive). Ini tidak ideal, tetapi ini solusi terbaik yang tersedia jika motherboard Anda tidak mendukung kata sandi ATA.
Komputer harus selalu boot secara bawaan dari UEFI.
Komputer harus menonaktifkan Modul Dukungan Kompatibilitas (CSM) di UEFI.
Komputer harus berbasis UEFI 2.3.1 dan memiliki EFI_STORAGE_SECURITY_COMMAND_PROTOCOL ditentukan. (Protokol ini digunakan untuk memungkinkan program yang berjalan di lingkungan layanan boot EFI untuk mengirim perintah protokol keamanan ke drive).
Chip TPM adalah opsional.
Boot aman adalah opsional.
GPT dan MBR keduanya didukung.
Jika ada perangkat lunak / driver RST, itu harus setidaknya versi 13.2.4.1000.
Ini dapat dilakukan dengan 2 disk atau satu.
Dari instalasi Windows yang memenuhi kriteria di atas:
Setel status ke siap diaktifkan melalui Samsung Magician.
Buat USB hapus yang aman (untuk DOS).
Reboot PC, ubah mode boot ke boot BIOS (untuk USB menghapus aman)
Boot ke hapus aman, hapus
Reboot PC, ubah pengaturan booting BIOS ke EFI lagi. (Jangan biarkan PC mulai boot dari drive atau Anda mungkin memulai proses dari awal.)
Boot kembali ke disk Windows dan periksa melalui penyihir Samsung atau instal Windows ke disk Anda yang terhapus aman.
Sebagai "seseorang" yang bekerja pada "msed", sekarang memiliki kemampuan mengaktifkan penguncian OPAL, menulis PBA ke drive OPAL 2.0 dan memuat rantai OS nyata setelah membuka kunci drive pada motherboard berbasis bios. Tidak diperlukan dukungan motherboard khusus. Ya, ini masih awal dalam siklus pengembangannya dan saat ini tidak mendukung sleep to ram karena itu memerlukan kait OS.
sumber
TexasDex benar. BIOS motherboard Anda harus mendukung opsi Kata Sandi ATA (ini berbeda dan selain kata sandi BIOS). Sekarang sedikit yang menarik. . . tidak ada yang menyebutkan fitur ini. Tidak dalam ulasan mobo, perbandingan, dan tentu saja tidak dalam iklan dan daftar produsen mobo. Kenapa tidak? Jutaan jutaan Samsung EVO dan Intel SSD siap untuk mengaktifkan enkripsi perangkat keras ultra cepat dan sangat aman, yang mereka butuhkan hanyalah BIOS dengan dukungan ATA Password.
Satu-satunya jawaban yang bisa saya temukan adalah bahwa pembuat Mobo takut beberapa noobs akan lupa kata sandi mereka, dan karena enkripsi ini sangat dapat diandalkan, tidak ada yang bisa membantu.
Saya memiliki mobo ASRock Extreme6, dan berpikir itu adalah yang terbaru dan terhebat, tentu saja ia memiliki fitur ini. Tidak. Namun, saya menulis kepada ASRock di Taiwan dan dalam seminggu mereka mengirimi saya versi 1.70B BIOS mereka dengan opsi ATA Password. Namun, itu masih belum tersedia di situs web mereka, Anda harus MEMINTA itu (?!). Ini mungkin terjadi dengan pembuat mobo Anda juga.
sumber
Dimungkinkan untuk menggunakan perintah hdparm di Linux untuk mengaktifkan ATA Security Extensions, yang akan mengatur kata sandi AT pada drive, sehingga mengenkripsinya.
Sayangnya, jika BIOS Anda tidak mendukung kata sandi hard disk maka tidak ada cara untuk mem-boot setelah Anda melakukannya, karena Anda tidak dapat menggunakan perintah buka kunci hdparm sampai setelah selesai mem-boot, dan Anda tidak dapat membuka dan mem-boot drive sampai setelah Anda membukanya. Jenis masalah ayam / telur. Itu sebabnya mereka terkadang memasukkan dukungan kata sandi disk di BIOS, sehingga dapat berjalan tanpa perlu OS.
Jika Anda memiliki / boot atau / partisi pada perangkat yang terpisah, Anda mungkin dapat mengatur skrip yang menggunakan perintah hdparm di suatu tempat dalam proses init. Ini tidak mudah, dan agak mengalahkan tujuan memiliki SSD untuk booting cepat dan semacamnya.
Satu-satunya ide saya adalah memiliki thumb drive dengan distro super-minimal Linux yang tidak melakukan apa-apa selain meminta kata sandi, menjalankan perintah hdparm ata unlock, dan reboot, memungkinkan OS untuk memuat dari drive yang tidak terkunci (saya percaya soft reboot biasanya tidak mengunci kembali drive). Ini tidak ideal, tetapi ini solusi terbaik yang tersedia jika motherboard Anda tidak mendukung kata sandi ATA.
sumber
Komputer harus berbasis UEFI 2.3.1 dan memiliki EFI_STORAGE_SECURITY_COMMAND_PROTOCOL ditentukan. (Protokol ini digunakan untuk memungkinkan program yang berjalan di lingkungan layanan boot EFI untuk mengirim perintah protokol keamanan ke drive).
Chip TPM adalah opsional.
Ini dapat dilakukan dengan 2 disk atau satu.
Dari instalasi Windows yang memenuhi kriteria di atas:
sumber